디렉토리 트래버셜(Directory Traversal)::보안

디렉토리 트래버셜이란?

 

 공격자가 요청 메시지의 URL이나 파라미터를 변경하여 정상적으로 허용하지 않은 기능을 실행하거나 다른 사용자의 리소스에 접근할 수 있는 공격입니다.

 

ex) http://~.com/.../file

 

 해당 웹 서버 내의 파일을 탐색하여 중요한 파일이 있을 경우 큰 타격을 받을 수 있습니다.

 

 

디렉토리 리스팅(Directory Listing)이란?

 

 웹 서버에서 디렉토리로 접속할 때 해당 디렉토리 내의 파일과 리스트가 보이는 기능입니다. 원래 용도는 원하는 문서를 찾아갈 수 있도록 만들어졌지만, 최근에는 문서의 저장 및 열람이 가능하다는 취약점을 이용해 탈취 및 서버 공격이 일어나고 있습니다.

 

ex) 파일 Upload 이후 다시 접속할 때

 

디렉토리 리스팅 기능 제거

 

Apache : "/conf/httpd.conf" 설정 파일에서 모든 디렉토리 Options 지시자의 'Indexes'를 제거합니다.